4.3 防火墙

4.3.1 防火墙介绍

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域间信息的唯一出口,能根据企业的安全政策控制(允许、拒绝、监测)网络的信息流,是保护用户资料与信息安全的一种技术,且本身具有较强的抗攻击能力。

随着防火墙技术的不断发展,其功能越来越丰富。防火墙最基础的两大功能依旧是隔离和访问控制。隔离功能就是在不同信任级别的网络之间砌“墙”,而访问控制就是在墙上开“门”并派驻守卫,按照安全策略来进行检查和放行。

1.防火墙的作用

防火墙的主要作用通常包括以下几点:

1)提供基础组网和访问控制

防火墙能够满足企业环境的基础组网和基本的攻击防御需求,可以实现网络连通并限制非法用户发起的内外攻击,如黑客、网络破坏者等,禁止存在安全脆弱性的服务和未授权的通信数据包进出网络,并对抗各种攻击。

2)网络地址转换

防火墙可以作为部署NAT(Network Address Translation,网络地址转换)的逻辑地址来缓解地址空间短缺的问题,并消除在变换ISP(Internet Service Provider,互联网服务提供商)时带来的重新编址的麻烦。

3)记录和监控网络存取与访问

作为单一的网络接入点,所有进出信息都必须通过防火墙,所以防火墙可以收集关于系统网络使用和误用的信息并做出日志记录。通过防火墙可以很方便地监视网络的安全性,并在异常时给出报警提示。

4)限定内部用户访问特殊站点

防火墙通过用户身份认证(如 IP 地址等)来确定合法用户,并通过事先确定的完全检查策略来决定内部用户可以使用的服务及可以访问的网站。

5)限制暴露用户点

利用防火墙对内部网络的划分,可实现网络中网段的隔离,防止影响一个网段的问题通过整个网络传播,限制了局部重点或敏感网络安全问题对全局网络造成的影响,保护一个网段不受来自网络内部其他网段的攻击,从而保障网络内部敏感数据的安全。

6)虚拟专用网

部分防火墙还支持具有 Internet 服务特性的企业内部网络技术体系—虚拟专用网络(Virtual Private Network,VPN)。通过 VPN 将企事业单位在地域上分布在世界各地的局域网或专用子网有机地联成一个整体。

2.安全域的概念

随着网络系统规模逐渐扩大,结构越来越复杂,组网方式随意性增强,缺乏统一规划,扩展性差;网络区域之间的边界不清晰,互连互通没有统一控制规范;业务系统各自为政,与外网之间存在多个出口,无法统一管理;安全防护策略不统一,安全防护手段部署原则不明确;对访问关键业务的不可信终端接入网络的情况缺乏有效控制。针对这类问题,提出安全域这一概念:安全域是一种思路、方法,它通过把一个复杂巨系统的安全保护问题分解为更小的、结构化的、区域的安全保护问题,按照“统一防护、重点把守、纵深防御”的原则,实现对系统分域、分级的安全保护,如图4-9所示。

图4-9 安全域

网络安全域是指同一系统内根据信息的性质、使用主体、安全目标和策略等要素的不同来划分的不同逻辑子网或网络,每一个安全域内部有相同的安全保护需求,互相信任,具有相同的安全访问控制和边界控制策略,并且相同的网络安全域共享一样的安全策略。

安全域是为方便管理而划分的逻辑区域,一般这个逻辑区域会被定义一个类可读的名称,如办公内网,通常认为是可信任的。一些厂家定义名称为“trust”的安全域。而互联网,一般认为是不可信任的,则定义名称为“untrust”的安全域。另一些防火墙厂家会将内网安全域名称定义为“Green”,互联网安全域名称定义为“Red”。另外,在大多数企业网中,会存在专门安放对外提供服务的不含机密数据的公用服务器的一个非安全系统与安全系统之间的缓冲区—非军事化区域(Demilitarized Zone,DMZ)。这样外部用户可以访问 DMZ 区域,但不能访问内网区域,即使 DMZ 区域内受到了破坏,也不会影响内网的安全性;安全域名称也可以由防火墙管理员自行指定。

4.3.2 防火墙的部署

防火墙接口支持串联(路由模式、交换模式)和旁路模式。

1.路由模式

防火墙通常使用路由模式(内网接口和外网接口都工作在路由模式),作为内网的出口网关部署在内网与外网之间。内网和外网不在同一个网段,如图4-10所示。

防火墙允许内网使用私有IP地址,内网用户通过NAT后访问外网。防火墙可以通过单链路连接互联网,也可以配置多链路方式提高链路的可靠性。

图4-10 路由模式

2.交换模式

交换模式又称为透明模式,交换模式下防火墙接口工作在二层,不需要配置 IP 地址。交换模式下部署防火墙不需要改变原有网络的结构。适用于需要增加网络安全防护,但不希望改变原有网络结构的情况,防火墙通常部署在内网和出口路由器之间。

1)接入VLAN场景

基于接口划分 VLAN 时,需要绑定 VLAN 和接口,用户主机被划分到其连接接口绑定的VLAN下。接入VLAN场景,接口的交换模式支持Access和Trunk。

(1)模式为 Access:链路类型为 Access 的接口只能属于某一个 VLAN,接收和发送本VLAN内的报文,一般用于连接终端PC。

(2)模式为Trunk:链路类型为Trunk的接口可以接收和发送多个VLAN的报文,一般与交换设备的Trunk接口对接。

2)透明桥接场景

桥(Bridge)模式下,用户将两个或两个以上的物理接口绑定在同一个桥,桥透明接入用户网络。桥可以通过绑定桥接口配置 IP 地址,管理员可以通过桥接口管理防火墙。如图 4-11 所示,防火墙通过桥方式透明接入用户网络,保护 VLAN10 和 VLAN20 的子网。PC1或PC2可以通过同网段桥接接口IP管理防火墙。

图4-11 透明桥接

3)虚拟线路桥接场景

虚拟线路桥只能绑定两个物理接口,虚拟线路桥不能绑定桥接口,如图 4-12 所示。从绑定虚拟线路桥的一个物理接口进入的流量只能被转发到该虚拟线路桥的另一个接口。其他接口流量不能被转发到虚拟线路桥中。内网用户可以通过虚拟线路桥直接访问内网服务器。

图4-12 虚拟线路桥接

4)聚合接口场景

聚合接口可以将防火墙的多个物理接口进行汇聚绑定,逻辑上变为一个接口,为防火墙同其他设备之间提供冗余和高效的连接方式,同时能够扩展链路带宽。

3.旁路模式

接口旁路模式主要用于实现监控功能,完全不需要改变用户的网络环境,通过把设备的监听口连接在交换机的镜像口上实现对流量的检测,检测完成后所有镜像流量都会被丢弃,如图 4-13 所示。这种模式对用户的网络环境完全没有影响,旁路设备故障不会对业务链路造成影响。接口旁路模式下支持安全防护、在安全策略中引用各种高级功能的安全配置文件对镜像的流量进行检测,检测到匹配安全策略的流量和攻击流量则生成日志,并进行日志统计和分析。

图4-13 旁路模式

1)思科交换机镜像口配置

把接口F0/0的所有流量镜像到F0/1口。

全局模式下:monitor session 1 source interface F0/0。

monitor session 1 destination interface F0/1.

2)华为交换机镜像口配置

把接口F0/0的所有流量镜像到F0/1口。

F0/0接口模式下:port-mirroring to observe-port 1 both。

全局模式下:observe-port 1 interface F0/1。

4.3.3 防火墙的配置

1.防火墙NAT实验

将网络连通性保障实验中的路由器替换为防火墙,如图4-14所示。

图4-14 防火墙NAT

防火墙的配置步骤如下:

(1)配置防火墙接口IP及接口的安全域,F0/0口为trust,F0/1口为untrust,F0/2口为dmz。

(2)配置静态路由,确保内网互通,配置到 10.2.0.0 255.255.255.0 的下一跳10.6.6.2。

(3)配置安全策略,如图 4-15 所示,允许内网(trust)访问互联网(untrust),允许内网(trust)访问网站(DMZ)。默认防火墙拒绝所有连接。

图4-15 配置安全策略

(4)配置对象:类似路由器中的定义内网允许访问外部的 IP 地址:access-list 1 permit 10.0.0.0 0.255.255.255,如图4-16所示。

图4-16 配置对象

(5)配置源 NAT:源 NAT 是将 IP 报文头中的源地址由私网地址转换为公网地址,从而实现内网用户访问外网,如图4-17所示。

(6)配置目的 NAT:目的 NAT 主要是将访问的目的 IP 转换为内部服务器的 IP。一般用于外部网络到内部服务器的访问,内部服务器可使用并保留IP地址。

2.防火墙访问控制实验

将访问控制技术实验中的路由器替换为防火墙,如图4-18所示。

图4-17 配置源NAT

图4-18 防火墙访问控制

防火墙配置步骤如下:

(1)配置防火墙接口IP及接口的安全域,F0/0口为trust,F0/1口为untrust,F0/2口为dmz。

(2)配置静态路由,确保内网互通,配置到 10.2.0.0 255.255.255.0 的下一跳10.6.6.2。

(3)创建对象:对象 1 (网站,IP 地址 10.1.2.2),对象 2 (办公室,IP 地址10.2.3.2)

(4)创建安全策略:创建允许内网所有IP访问网站服务器80端口的策略,如图4-19所示。

图4-19 创建安全策略

允许办公室访问网站服务器3389端口的策略,如图4-20所示。

图4-20 允许访问3389端口的策略